8.11. Gestão da Identidade
A utilidade dsctl não deixa mais de gerenciar instâncias com um hífen em seu nome
Anteriormente, o utilitário dsctl não analisava corretamente os hífens nos nomes das instâncias do Servidor de Diretório. Como conseqüência, os administradores não podiam usar o dsctl para gerenciar instâncias com um hífen em seu nome. Esta atualização corrige o problema e o dsctl agora funciona como esperado no cenário mencionado.
Nomes de instâncias de servidores de diretório podem agora ter até 103 caracteres
Quando um cliente LDAP estabelece uma conexão com o Directory Server, o servidor armazena informações relacionadas com o endereço do cliente em um buffer local. Anteriormente, o tamanho deste buffer era muito pequeno para armazenar um nome de caminho LDAPI com mais de 46 caracteres. Por exemplo, este é o caso se o nome da instância do Servidor de Diretório for muito longo. Como conseqüência, o servidor terminou inesperadamente devido a um estouro de buffer. Esta atualização aumenta o tamanho do buffer para o tamanho máximo que a biblioteca Netscape Portable Runtime (NSPR) suporta para o nome do caminho. Como resultado, o Servidor de Diretório não trava mais no cenário mencionado.
Note que devido à limitação na biblioteca NSPR, um nome de instância pode ter no máximo 103 caracteres.
A utilidade do pkidestroy agora escolhe a instância correta
Anteriormente, o comando pkidestroy --force executado em uma instância semi-eliminada escolheu a instância pki-tomcat por padrão, independentemente do nome da instância especificada com a opção -i instance.
Como conseqüência, isto removeu a instância pki-tomcat em vez da instância pretendida, e a opção --remove-logs não removeu os logs da instância pretendida. pkidestroy agora aplica o nome correto da instância, removendo apenas os restos da instância pretendida.
A descrição do serviço ldap_user_authorized_service foi atualizada na página de manual sssd-ldap
A pilha de módulos de autenticação Pluggable (PAM) foi alterada no RHEL 8. Por exemplo, a sessão do usuário do sistema agora inicia uma conversa PAM usando o serviço PAM de usuário do sistema. Este serviço agora inclui recursivamente o serviço PAM system-auth, que pode incluir a interface pam_sss.so. Isto significa que o controle de acesso SSSD é sempre chamado.
Você deve estar ciente desta mudança ao projetar regras de controle de acesso para os sistemas RHEL 8. Por exemplo, você pode adicionar o serviço de usuário do sistema à lista de serviços permitidos.
Observe que para alguns mecanismos de controle de acesso, tais como IPA HBAC ou AD GPOs, o serviço de usuário do sistema foi adicionado à lista de serviços permitidos por padrão e você não precisa tomar nenhuma ação.
A página de manual sssd-ldap foi atualizada para incluir estas informações.
As informações sobre os registros DNS necessários são agora exibidas quando se permite o suporte à confiança do AD na IdM
Anteriormente, ao permitir o suporte à confiança do Active Directory (AD) na instalação do Red Hat Enterprise Linux Identity Management (IdM) com gerenciamento DNS externo, nenhuma informação sobre os registros DNS necessários era exibida. Ao entrar no ipa dns-update-system-records -- o comando secy-run manualmente era necessário para obter uma lista de todos os registros DNS requeridos pelo IdM.
Com esta atualização, o comando ipa-adtrust-install lista corretamente os registros do serviço DNS para adição manual à zona DNS.
